Тесты цифровой техники

     
 

Расследование Positive Technologies: дело Cobalt продолжает жить

В середине мая 2018 года специалисты подразделения Expert Security Center компании Positive Technologies (PT ESC) зафиксировали вредоносную рассылку фишинговых писем в организациях кредитно-финансового сектора. По ряду признаков можно предположить, что атака организована группой Cobalt или кем-то из ее бывших участников. Напомним, что в марте 2018 года в Европе был арестован предполагаемый лидер группировки.

Первое расследование по Cobalt компания Positive Technologies провела в 2016 году: тогда за одну ночь группировка похитила более двух миллионов рублей (в местной валюте) из шести банкоматов одного восточноевропейского банка. В 2017 году к списку обычных для группы Cobalt целей, находящихся в странах СНГ, Восточной Европы и Юго-Восточной Азии, добавились компании, расположенные в Северной Америке, Западной Европе и даже в Южной Америке. Деятельность около 75% компаний, включенных группой в список для рассылки фишинговых писем, связана с финансами. По данным Positive Technologies, только в первой половине 2017 года Cobalt разослала фишинговые письма с зараженными файлами более чем 3 тысячам получателей из 250 компаний в 13 странах мира.

«На первом этапе атаки группировка Cobalt активно использует методы социальной инженерии для доставки вредоносных файлов, что и неудивительно: согласно нашей статистике, по ссылкам в фишинговых письмах переходят почти 30% получателей, — рассказывает Алексей Новиков, руководитель экспертного центра безопасности Positive Technologies. — Для противодействия атакам со стороны подобных группировок мы рекомендуем в первую очередь организовать проведение регулярных работ по повышению осведомленности сотрудников компании в вопросах ИБ. Необходимо также наладить процесс своевременной установки обновлений безопасности, в том числе и для прикладного ПО, использовать современные средства защиты и проводить мероприятия по расследованию инцидентов».

Cobalt не рассчитывает на одну только невнимательность пользователей или недостатки спам-фильтров на почтовых серверах. Для повышения эффективности своих атак они используют взлом публичных сайтов со слабой защитой для загрузки на них вредоносных файлов, поддельные письма от имени финансовых регуляторов и контрагентов, рассылки не только на корпоративные почтовые адреса, но и на личные адреса сотрудников. Целью рассылки фишинговых писем являются, как правило, компрометация узлов, связанных с управлением банкоматами, и заражение ATM вредоносным ПО для манипуляций с диспенсером. На финальном этапе подставные лица — дропы, или money mules — забирают из банкоматов деньги.

Технические особенности фишинговой рассылки, зафиксированной в мае 2018 года, повторяют различные атаки группы Cobalt. Похожая структура домена для рассылки писем применялась во время атак этой группы на банки России и Восточной Европы. Структура скачанного по ссылкам вредоносного документа схожа с документами, сгенерированными с помощью эксплойт-кита Threadkit, который Cobalt использовала с февраля 2018 года. В ходе новой атаки эксплуатировалась привычная схема доставки загрузчика, предназначенного для скачивания бэкдора, и аналогичный метод расшифровки. Кроме того, бэкдор имеет все те же функции: разведка, запуск программ, загрузка новых модулей, самообновление, самоудаление, поиск антивирусов в системе, шифрование трафика. В данном случае специалисты PT ESC не зафиксировали использования инструментария Cobalt Strike, из-за которого группа и получила свое название, но техника и тактика очень напоминают атаки, которые проводились ранее.

В 2017 году компания Positive Technologies проводила в ряде компаний расследования инцидентов, связанных с атаками группировки Cobalt. Принятые в ходе реагирования на инциденты меры позволили не только выявить и остановить деятельность нарушителей в рамках сетевой инфраструктуры, но и помешать повторной компрометации, которую злоумышленники пытались осуществить после потери контроля, а также предотвратить кражу денежных средств.

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: Безопасность

наверх
 
 
     
Оставить комментарий
Имя:
E-mail:
Комментарий (не более 2000 знаков):



ИЛИ
     
 

MSKIT.RU: последние новости Москвы и Центра

16.10.2018 Цифровая трансформация: пора налить воду в бассейн

16.10.2018 На «ПРОФ-IT» показали отечественные интегрированные решения

15.10.2018 Россияне распробовали бесконтактные платежи

14.10.2018 Великий Новгород хочет стать цифровым регионом

09.10.2018 Информационная безопасность сбавит темы роста

04.10.2018 Цифровой опыт разочаровывает пользователей

03.10.2018 Microsoft обновляет Windows 10 и поднимает цену на Office 365

02.10.2018 Выдерни шнур: в Петербурге обсудили Multi-Cloud

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга